勒索软件组织与技术演进

勒索软件团伙和变种此起彼伏，部分组织在沉寂后以更强姿态回归。以BlackCat勒索团伙为例，该组织在2024年3月退出骗局后停止运营。LockBit则在执法部门取缔数天后成功复活。

某些变种持续进化——基于前代技术构建更强大、更具韧性的攻击手段。仍以LockBit为例，它最初于2019年出现，最近已演进至LockBit 5.0版本，“ boasting faster encryption, stronger evasion and a revamped affiliate program.”

KillSec针对巴西医疗系统的攻击

9月8日，KillSec勒索组织攻击了巴西医疗软件提供商MedicSolution。该组织威胁将泄露34GB敏感数据，包括超过94,000份包含检测结果、X光片和患者记录的文件。

该漏洞源于不安全的AWS S3存储桶，暴露窗口可能持续数月之久。MedicSolution为众多医疗机构提供云服务，这使得医疗组织面临风险。受影响患者尚未收到数据泄露通知。

新兴勒索组织Yurei的首个战果

9月5日，新兴勒索组织Yurei声称对斯里兰卡食品制造公司MidCity Marketing完成首次双重勒索攻击。数日后，印度和尼日利亚陆续报告新增受害者。

疑似位于摩洛哥的操作者使用修改版开源Prince-Ransomware（使用Go语言编写，更难检测）实施攻击。网络安全厂商Check Point Software研究人员在博客中指出，使用开源恶意软件“显著降低了网络犯罪分子的入门门槛”。

同一组研究人员还发现了关键漏洞，可能帮助受害者恢复被窃取和加密的数据。

HybridPetya新型恶意软件威胁安全启动

网络安全厂商ESET研究人员发现HybridPetya，这是一种结合NotPetya破坏能力和Petya可恢复加密功能的高级恶意软件。

虽然尚未在野外部署，但它已成为第四种已知能绕过UEFI安全启动保护的恶意软件。HybridPetya可将恶意UEFI有效载荷直接部署到EFI系统分区，并加密主文件表，导致系统无法访问。

与NotPetya不同，HybridPetya允许操作者重建解密密钥。即使重新安装操作系统或擦除硬盘，这种持久性威胁仍然存在。